《关键信息基础设施安全保护条例》（以下简称“《条例》”）正式实施。《条例》明确了关键信息基础设施的范围、职责分工以及保障关键信息基础设施安全的技术和管理要求，推动了我国关键信息基础设施安全保障体系的建设。同时，《条例》也明确要求国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。自 2015 年起，全国信息安全标准化技术委员会（TC260）组织研究关键信息基础设施安全标准体系，推动研制《信息安全技术 关键信息基础设施安全保护要求》等 8 项重点急需标准，为各行业各领域关键信息基础设施的识别认定、安全防护能力建设、安全检查评估和应急体系建设等工作提供有效技术输入，为保障关键信息基础设施全生命周期安全提供标准化支撑。

一、关键信息基础设施安全国家标准制定情况

依据《网络安全法》和《条例》，关键信息基础设施安全保护工作应在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施安全保护需要在完善各类基础性安全工作的基础上开展重点防护。我国已经发布的和在研的网络安全国家标准，包括网络安全等级保护标准、工业控制安全标准、密码标准、数据安全标准等均可用于支撑关键信息基础设施的安全保护工作。各行业可在国家标准基础上，根据行业需求制定相应行业标准。

目前，我国尚未正式发布关键信息基础设施安全国家标准，在研国家标准共8项，如表 1 所示。围绕核心标准《信息安全技术关键信息基础设施安全保护要求》，涵盖了总体要求、识别认定、安全防护、检测评估、监测预警和事件处置等方面，主要用于指导运营者、网络安全服务机构等相关单位共同构建关键信息基础设施安全保障体系。

表 1 关键信息基础设施安全国家标准研制情况

在研8项国家标准主要内容如下。

《信息安全技术 关键信息基础设施安全保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。该标准目前已经报批待发布。《信息安全技术 关键信息基础设施安全控制措施》规定了关键信息基础设施运营者为满足识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面安全要求应采取的控制措施。该标准是《信息安全技术 关键信息基础设施安全保护要求》的配套标准，目前为送审稿阶段。《信息安全技术 关键信息基础设施边界确定指南》提出了识别关键信息基础设施边界的方法，适用于关键信息基础设施运营者、关键信息基础设施保护部门和网络安全服务机构识别关键信息基础设施边界，作为明确保护对象，确定保护范围的工作指导。该标准可用于指导《信息安全技术 关键信息基础设施安全保护要求》中的识别分析方面的工作，目前为征求意见稿阶段。《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》规定了关键信息基础设施信息技术产品供应方和需求方的供应链安全要求，适用于关键信息基础设施、政务信息系统加强信息技术产品供应链安全，也可为其他信息系统保障供应链安全提供参考。该标准可用于指导《信息安全技术 关键信息基础设施安全保护要求》中的安全防护方面的工作，目前为报批稿阶段。《信息安全技术 关键信息基础设施安全检查评估指南》给出了关键信息基础设施安全检查工作的方法、流程和内容，适用于各级网信部门和关键信息基础设施保护工作部门开展关键信息基础设施安全检查。该标准可用于指导《信息安全技术 关键信息基础设施安全保护要求》中检测评估方面的工作，目前为报批稿阶段。《信息安全技术 关键信息基础设施安全保障指标体系》给出了关键信息基础设施安全保障指标体系、指标释义和测量方法，适用于关键信息基础设施保护工作部门开展关键信息基础设施安全保障评价工作。该标准提出的安全保障指标涵盖了《信息安全技术 关键信息基础设施安全保护要求》中的相关要求，目前为报批稿阶段。《信息安全技术 关键信息基础设施安全防护能力评价方法》描述了关键信息基础设施安全防护能力评价模型，提出了能力评价方法，适用于关键信息基础设施运营者对关键信息基础设施安全防护能力进行评价，也可适用于网络安全服务机构对关键信息基础设施安全防护能力进行评价，并可供关键信息基础设施保护工作部门和关键信息基础设施安全保护的其他参与者参考。该标准以《信息安全技术 关键信息基础设施安全保护要求》为基础提出安全防护能力等级及评价方法，目前为送审稿阶段。《信息安全技术 关键信息基础设施网络安全应急框架》给出了关键信息基础设施网络安全应急体系框架，包括角色、职责以及应急要素等，适用于指导运营者建设关键信息基础设施网络安全应急体系。该标准可用于指导《信息安全技术 关键信息基础设施安全保护要求》中的事件处置方面的工作，目前为征求意见稿阶段。